Antwort #16 am: 05. März 2014, 12:16:42
Hab diese Seuche auch gerade erst aus diversen modified shops entfernt. Es reicht, z.B. mit WinSCP über den Punkt "Befehle", die Suche anzuschmeißen und nach *.js zu suchen. In der Listung finden sich dann alle Scripte eines Shops. Dort nach Auffäligkeiten im Datum (Änderungsdatum der Datei) suchen.
Fürs erste genügt es, die verseuchten Dateien mit sauberen zu überschreiben.
Laut Microsoft ist es der Trojaner "Redirect.NL", welche nach und nach alle Java Scripte auf einer Maschine befällt, auf die er zugreifen kann. Das gilt auch für Wordpress Installationen im gleichen Bereich.
Das alles ist aber nur ein bekämpfen der Symptome, wichtiger wäre es, die auslösende Datei ausfindig zu machen. Weiß da schon jemand mehr? Habe gestern vier modified Shops und sechs WPs gereinigt, und stellte heute morgen fest, dass nun andere Shops die gestern noch nicht befallen waren "erkrankt" sind.
Das Ding macht überings auch nicht vor den Java in Magento halt. Auf einer meiner Magento Multishops waren gleich vier Domains betroffen.
Man erkennt sher schnell, ob man befallen ist, wenn man beim laden der eigenen Seite unten links oder rechts im Browser die Adresen beobachten, die zum vollständigen laden der Seite abgerufen werden. Dort tauchen dann zum Beispiel Adressen auf, die Ihr nicht selbst verdrahtet habt.
Der Sinn der Sache ist es, im Hintergrund auf andere Seiten umzuleiten. Wenn Ihr die Seuche nicht bemerkt oder unbeachtet lasst, weil der Shop oder die WP Seite nur langsamer wird aber sonst funktioniert, werdet Ihr bald einen hübschen gelben oder roten Balken über eurer Seite vorfinden, der durch diverse Browseranbieter erzeugt wird und eure Kunden davor warnt diese Seite zu nutzen, da dort ein JavaScript Trojaner untergeschoben wird.
Hoffe jemand ist schlaur wie ich und sagt mir wie ich die Quelle oder das offene Tor ausfindig mache um dem Mist ein Ende zubereiten.
Dank im Vorraus.
Grüße Markus